Datenleck-Notfallplan 2026: Was tun wenn deine Daten gestohlen wurden
Dieser Artikel kann Affiliate-Links enthalten. Wenn du über diese Links einkaufst, erhalten wir möglicherweise eine kleine Provision — ohne Mehrkosten für dich. Das hilft uns, weiterhin kostenlose Inhalte zu erstellen.
Ein Datenleck bedeutet, dass Zugangsdaten, E-Mail-Adressen oder andere persönliche Informationen von einem Dienst abgegriffen wurden und in fremde Hände geraten sind. Die ersten Stunden nach so einer Meldung entscheiden, ob es bei einem Schreckmoment bleibt oder ob daraus Kontoübernahmen, Spam-Wellen oder schlimmstenfalls Identitätsmissbrauch werden. Die gute Nachricht: Mit einer festen Reihenfolge an Schritten reduzierst du das Risiko deutlich, ganz ohne Panik.
Wichtig ist die Unterscheidung zwischen zwei Fällen. Entweder bestätigt ein Dienst aktiv, dass er gehackt wurde und schreibt dich an. Oder du stößt selbst auf einen Hinweis, etwa über eine Suche bei einem Breach-Checker, ungewöhnliche Login-Versuche oder eine seltsame Aktivität in einem deiner Konten. Beide Fälle erfordern dasselbe Grundgerüst an Maßnahmen, nur die Reihenfolge der Dringlichkeit verschiebt sich leicht. Dieser Notfallplan führt dich durch sechs Schritte, die du in genau dieser Reihenfolge abarbeitest.
Ein verbreiteter Irrtum ist die Annahme, ein Datenleck betreffe immer nur den einen gehackten Dienst. Tatsächlich liegt das eigentliche Risiko in den Verbindungen zwischen deinen Konten: ein geleaktes Passwort, das du mehrfach nutzt, öffnet automatisch jede andere Tür, an der dasselbe Schloss hängt. Deshalb steht das Eindämmen dieser Kettenwirkung im Zentrum des Plans.
Schritt 1: Ruhe bewahren und das Ausmaß einordnen
Bevor du irgendetwas änderst, kläre zwei Fragen: Welcher Dienst ist betroffen, und welche Daten waren dort hinterlegt? Eine geleakte E-Mail-Adresse allein ist unangenehm, aber selten gefährlich. Eine geleakte E-Mail-Adresse zusammen mit einem Passwort ist deutlich kritischer, vor allem wenn du dieses Passwort mehrfach verwendest.
Lies die Meldung des Dienstes genau. Seriöse Anbieter benennen klar, welche Datenfelder betroffen sind: nur E-Mail-Adressen, auch Passwort-Hashes, oder zusätzlich Klarnamen, Adressen und Zahlungsdaten. Je sensibler die Kombination, desto höher die Priorität bei den folgenden Schritten. Notiere dir die betroffenen Datenarten, denn danach richtet sich, wie weit du gehen musst.
Kläre außerdem, wie aktuell das Leck ist. Manche Datensammlungen sind Jahre alt und enthalten längst geänderte Passwörter. Andere sind frisch und damit unmittelbar gefährlich. Steht in der Meldung ein Zeitpunkt, vergleiche ihn mit dem Moment, an dem du dort zuletzt dein Passwort geändert hast. Liegt deine letzte Änderung danach, ist das gespeicherte Passwort vermutlich nicht mehr gültig.
Schritt 2: Das wichtigste Passwort zuerst ändern
Ändere als Erstes das Passwort des direkt betroffenen Kontos. Wenn du dieses Passwort an anderer Stelle wiederverwendet hast, sind diese Konten genauso gefährdet, auch wenn sie nicht im Leck auftauchen. Angreifer testen geleakte Kombinationen automatisiert bei Dutzenden Diensten durch, ein Vorgehen, das als Credential Stuffing bekannt ist.
Priorisiere nach Hebelwirkung. Dein E-Mail-Postfach steht ganz oben, denn darüber lassen sich Passwörter fast aller anderen Dienste zurücksetzen. Danach folgen Konten mit Zahlungsfunktion wie Online-Banking, Bezahldienste und Shops mit hinterlegter Karte. Erst danach die übrigen Konten. Wer in dieser Reihenfolge vorgeht, sichert immer zuerst das, worüber der größte Schaden möglich wäre.
Vergib für jedes Konto ein eigenes, langes und zufälliges Passwort. Das ist von Hand kaum machbar, deshalb gehört ein Passwort-Manager an dieser Stelle dazu. Er erzeugt und speichert für jeden Dienst eine eigene Zeichenfolge, sodass ein einzelnes Leck nicht mehr alle deine Konten gefährdet. Einen passenden Manager findest du etwa bei Bitwarden (Anzeige) oder 1Password (Anzeige).
Wichtig ist die Länge: Ein langes Passwort aus mehreren zufälligen Wörtern oder Zeichen ist für automatisierte Angriffe deutlich schwerer zu knacken als ein kurzes mit ein paar Sonderzeichen. Verlasse dich nicht auf merkbare Muster, denn genau die stehen in den Listen, mit denen Angreifer arbeiten.
Schritt 3: Zwei-Faktor-Authentifizierung aktivieren
Ein gestohlenes Passwort verliert viel von seiner Gefahr, wenn der Angreifer zusätzlich einen zweiten Faktor bräuchte. Aktiviere die Zwei-Faktor-Authentifizierung überall, wo sie angeboten wird, beginnend beim E-Mail-Postfach und den Konten mit Zahlungsfunktion.
Bevorzuge eine Authenticator-App oder einen physischen Sicherheitsschlüssel gegenüber dem Versand von Codes per SMS. SMS-Codes lassen sich unter bestimmten Umständen abfangen oder durch das Übernehmen der Rufnummer umleiten. Eine App, die zeitbasierte Einmalcodes erzeugt, läuft dagegen lokal auf deinem Gerät und ist nicht an deine Telefonnummer gebunden.
Hinterlege beim Einrichten der 2FA auch die Wiederherstellungscodes an einem sicheren Ort, etwa im Passwort-Manager. Diese Codes brauchst du, falls du dein Zweitgerät verlierst. Ohne sie kann dich die eigene Sicherung im schlimmsten Fall selbst aussperren.
Schritt 4: Konten und Finanzen auf Auffälligkeiten prüfen
Sieh in den betroffenen Konten nach, ob es ungewöhnliche Aktivitäten gab: fremde Logins, geänderte Wiederherstellungs-Adressen, neue Weiterleitungsregeln im Postfach oder Bestellungen, die du nicht ausgelöst hast. Gerade Weiterleitungsregeln richten Angreifer gern still ein, um auch nach einer Passwortänderung weiter mitzulesen.
Viele Dienste führen eine Liste aktiver Sitzungen und angemeldeter Geräte. Sieh dort nach und melde alle Sitzungen ab, die du nicht zuordnen kannst. So fliegt ein Angreifer auch dann raus, wenn er gerade noch eingeloggt ist. Prüfe zusätzlich, ob fremde Apps oder Drittdienste Zugriff auf dein Konto haben, und entziehe ihn im Zweifel.
Waren Zahlungsdaten im Spiel, behalte deine Kontoauszüge und Kreditkartenabrechnungen in den folgenden Wochen genau im Blick. Kleine, ungewöhnliche Testbuchungen sind oft das erste Anzeichen für einen missbrauchten Kartendatensatz. Im Zweifel lässt du die betroffene Karte über deine Bank sperren und neu ausstellen.
| Geleakte Daten | Risiko | Erste Maßnahme |
|---|---|---|
| Nur E-Mail-Adresse | Niedrig (mehr Spam, Phishing) | Wachsam bei Mails, Spamfilter prüfen |
| E-Mail + Passwort | Hoch (Kontoübernahme) | Passwörter ändern, 2FA aktivieren |
| + Klarname, Adresse | Erhöht (gezieltes Phishing) | Identitätsmissbrauch beobachten |
| + Zahlungsdaten | Sehr hoch (Finanzbetrug) | Bank informieren, Karte sperren |
Schritt 5: Identitätsmissbrauch vorbeugen und dokumentieren
Wenn neben Zugangsdaten auch Klarname, Anschrift oder Ausweisnummern betroffen waren, geht das Risiko über einzelne Konten hinaus. Mit solchen Angaben lassen sich auf deinen Namen Verträge abschließen oder Bestellungen aufgeben. Halte Augen offen nach Rechnungen, Mahnungen oder Vertragsbestätigungen für Dinge, die du nie veranlasst hast.
Dokumentiere alles, was du beobachtest und unternimmst: Datum der Leck-Meldung, betroffene Konten, durchgeführte Passwortänderungen, verdächtige Vorgänge. Diese Aufstellung hilft dir später, wenn du gegenüber einer Bank, einem Händler oder den Behörden nachweisen musst, dass eine Bestellung nicht von dir stammt.
Bei einem konkreten finanziellen Schaden oder einem klaren Identitätsmissbrauch solltest du Anzeige bei der Polizei erstatten. Viele Bundesländer bieten dafür auch eine Online-Wache an. Welche weiteren Schritte im Einzelfall sinnvoll sind, klärst du am besten mit dem betroffenen Anbieter und gegebenenfalls einer Verbraucherzentrale.
Hilfreich ist außerdem eine kostenlose Selbstauskunft bei den Auskunfteien, denn dort schlagen Verträge und Bonitätsanfragen auf. Tauchen Einträge auf, die du nicht veranlasst hast, lässt du sie unter Verweis auf den Missbrauch korrigieren. Je früher das geschieht, desto kleiner bleibt der Kreis der Stellen, die einer fremden Forderung Glauben schenken.
Schritt 6: Langfristig absichern, damit das nächste Leck dich kalt lässt
Das nächste Datenleck kommt, denn Lecks bei großen Diensten passieren regelmäßig und liegen außerhalb deiner Kontrolle. Worauf du Einfluss hast, ist der Schaden, den ein Leck bei dir anrichten kann. Drei Maßnahmen senken dieses Schadenspotenzial dauerhaft.
Erstens: ein Passwort-Manager mit ausschließlich einzigartigen Passwörtern. Damit bleibt ein Leck immer auf ein einziges Konto begrenzt. Zweitens: Zwei-Faktor-Authentifizierung auf allen wichtigen Konten. Drittens: eine Trenn-E-Mail oder Alias-Adressen für unwichtige Anmeldungen, damit nicht jeder Dienst deine Haupt-Adresse kennt.
Prüfe regelmäßig, ob deine Adressen in bekannten Lecks auftauchen. Dafür kannst du unseren Breach-Check oder den Passwort-Leak-Test nutzen. Wie tragfähig dein gesamtes Setup ist, zeigt dir der Privacy-Score. Einen passenden Passwort-Manager findest du bei Bitwarden (Anzeige) oder 1Password (Anzeige).
Die ersten 24 Stunden im Zeitplan
Unter Zeitdruck hilft eine klare zeitliche Staffelung. In den ersten Minuten kümmerst du dich um das Wichtigste, der Rest folgt geordnet danach. So vermeidest du den häufigsten Fehler, nämlich gleichzeitig an zu vielen Stellen anzufangen und dabei den entscheidenden Zugang offen zu lassen.
| Zeitfenster | Aufgabe |
|---|---|
| Erste 15 Minuten | Ausmaß einordnen, E-Mail-Passwort ändern |
| Erste Stunde | 2FA aufs Postfach, Zahlungskonten sichern |
| Erster Tag | Wiederverwendete Passwörter ersetzen, Sitzungen abmelden |
| Erste Woche | Kontoauszüge prüfen, Vorgänge dokumentieren |
Diese Staffelung ist kein starres Gesetz. Waren von Anfang an Zahlungsdaten betroffen, ziehst du die Bank-Schritte nach vorn. Das Grundprinzip bleibt: erst der breiteste Hebel, dann die Tiefe.
Sonderfall: das Postfach selbst ist gekapert
Der schwierigste Fall liegt vor, wenn nicht irgendein Dienst, sondern dein E-Mail-Postfach selbst übernommen wurde. Dann hat der Angreifer den Generalschlüssel, denn über das Postfach lassen sich Passwörter fast aller anderen Konten zurücksetzen. Hier zählt jede Minute.
Versuche zuerst, dich anzumelden und das Passwort sofort zu ändern. Gelingt das nicht, weil der Angreifer es bereits geändert hat, nutze die Wiederherstellungsfunktion des Anbieters. Liegt eine alternative Wiederherstellungs-Adresse oder Telefonnummer vor, die noch dir gehört, läuft der Prozess meist darüber. Wurde auch diese geändert, brauchst du den Support des Anbieters und musst deine Identität nachweisen.
Sobald du wieder Kontrolle hast, entfernst du fremde Weiterleitungsregeln, prüfst die hinterlegten Wiederherstellungswege und aktivierst 2FA. Erst danach gehst du die übrigen Konten durch, die über dieses Postfach erreichbar gewesen wären, allen voran die mit Zahlungsfunktion.
Wenn jemand anderes betroffen ist
Manchmal trifft das Leck nicht dich selbst, sondern Familienmitglieder, die deine Hilfe brauchen, etwa ältere Angehörige. Auch hier gilt dieselbe Reihenfolge: zuerst das gemeinsame oder zentrale Postfach, dann die Konten mit Geld dahinter. Gehe die Schritte ruhig gemeinsam durch, statt einfach für die Person zu handeln, denn so lernt sie das Vorgehen für den nächsten Fall mit.
Achte besonders darauf, ob bei der Person Passwörter mehrfach im Einsatz sind, denn das ist bei weniger technik-erfahrenen Menschen häufig der Fall. Ein gemeinsam eingerichteter Passwort-Manager nimmt ihnen das Merken ab und schließt genau diese Lücke dauerhaft.
Die häufigsten Fehler nach einem Datenleck
- Gar nichts tun, weil „eh schon alles im Netz ist". Genau diese Haltung nutzen Angreifer aus.
- Nur das eine betroffene Passwort ändern und die Wiederverwendung an anderer Stelle übersehen.
- Auf Links in der Warn-Mail klicken, statt den Dienst selbst aufzurufen.
- Die 2FA-Aktivierung aufschieben, obwohl sie der wirksamste einzelne Schutz ist.
- Keine Notizen machen und später nicht mehr nachvollziehen können, was passiert ist.
Häufige Fragen rund um Datenlecks
Muss ich wirklich alle Passwörter ändern? Nein. Du änderst das betroffene Passwort und überall dort, wo du dasselbe oder ein sehr ähnliches Passwort verwendest. Konten mit einem eigenen, einzigartigen Passwort sind durch dieses Leck nicht gefährdet. Genau das ist der Grund, warum einzigartige Passwörter die Arbeit im Ernstfall so stark verkürzen.
Was, wenn nur meine E-Mail-Adresse betroffen ist? Dann ist die akute Gefahr gering. Rechne mit mehr Spam und gezielteren Phishing-Versuchen und sei bei Mails, die sich auf den betroffenen Dienst beziehen, besonders aufmerksam. Eine Passwortänderung ist in diesem Fall nicht zwingend, schadet aber nicht.
Hilft es, die E-Mail-Adresse komplett aufzugeben? Nur selten. Eine zentrale Adresse zu wechseln, ist aufwendig und löst das Grundproblem nicht. Sinnvoller ist es, künftig für unwichtige Anmeldungen Alias-Adressen zu nutzen und die Haupt-Adresse mit starkem Passwort und 2FA abzusichern.
Bin ich verpflichtet, das Leck zu melden? Als betroffene Privatperson nicht. Die Meldepflicht trifft den Anbieter, bei dem das Leck passiert ist. Du selbst entscheidest, ob du bei einem konkreten Schaden Anzeige erstattest. Bei rechtlichen Fragen im Einzelfall holst du am besten fachlichen Rat ein.
Kann ich verhindern, dass meine Daten weiterverbreitet werden? Vollständig zurückholen lassen sich einmal geleakte Daten nicht, denn sie kursieren oft auf vielen Kopien. Du kannst nur dafür sorgen, dass diese Daten dir keinen Schaden mehr bringen, indem du betroffene Passwörter ersetzt und die zugehörigen Konten zusätzlich mit 2FA absicherst.
Mehr zum Erkennen und Vorbeugen liest du im Ratgeber Identitätsdiebstahl: Erkennen, handeln und vorbeugen. Wie du gezielt prüfst, ob du betroffen bist, zeigt dir der Beitrag Bin ich von einem Datenleck betroffen?. Halte dich an die feste Reihenfolge dieses Plans, dann bringst du auch unter Zeitdruck nichts durcheinander: erst einordnen, dann das wichtigste Passwort ändern, 2FA aktivieren, Konten prüfen und zuletzt langfristig absichern.
Veröffentlicht durch die CheckPrivacy-Redaktion. Veröffentlicht am 24. Mai 2026. Aktualisiert am 8. Juni 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@checkprivacy.de
Privacy-Updates ohne Tracking
Neue Tools, Browser-Tests und Schutz-Anleitungen — kostenlos, kein Tracking, jederzeit abbestellbar.
🎁 Gratis dazu: Privacy-Checkliste 2026 (PDF)
Zum Datenlecks und Identitätsschutz
Alle ansehen →Weitere Befunde und Diagnose-Hilfen aus diesem Bereich findest du gebündelt im Datenlecks und Identitätsschutz.
Das könnte dich auch interessieren
Smartphone-Privacy 2026: Android und iOS datensparsam einrichten
In rund einer halben Stunde schließt du auf Android und iOS die größten Datenlecks: Werbe-ID, Standort-Tracking und Telemetrie.
Browser härten 2026: Die komplette Anti-Tracking-Anleitung
Schritt für Schritt zeigt diese Anleitung, wie du deinen Browser gegen Tracking, Fingerprinting und Datenabfluss absicherst.
Cookies, Supercookies und Fingerprints: Der komplette Tracking-Atlas
Ein systematischer Atlas der Speicher- und Erkennungsverfahren im Browser, von gewöhnlichen Cookies über Supercookies bis zu reinem Fingerprinting.